Kötü Amaçlı Komut Dosyaları ve Arka Kapılar Kritik WordPress Eklenti Kusurlarını Hedefliyor
Fastly, yeni bir siber saldırı dalgasının, yaygın olarak kullanılan üç WordPress eklentisindeki güvenlik açıklarından yararlanarak web sitelerine kötü amaçlı komut dosyaları ve arka kapılar enjekte ettiği konusunda uyarıyor. Bu kritik kusurlar, saldırganların kimliği doğrulanmamış depolanmış siteler arası komut dosyası (XSS) saldırıları yürütmesine olanak tanıyarak, yetkisiz WordPress yönetici hesaplarının oluşturulmasını, eklenti ve tema dosyalarına PHP arka kapılarının eklenmesini ve tehlikeye atılan siteleri izlemek için izleme komut dosyalarının kurulmasını kolaylaştırır.
Fastly, Autonomous System (AS) IP Volume Inc.'e bağlı IP'lerden kaynaklanan önemli sayıda istismar girişimini gözlemledi. Etkilenen eklentiler arasında milyonlarca aktif kurulumu etkileyen WP İstatistikleri, WP Meta SEO ve LiteSpeed Cache yer alıyor.
İçindekiler
WP İstatistikleri Güvenlik Açığı: CVE-2024-2194
İlk güvenlik açığı, 600.000'den fazla aktif kuruluma sahip olan WP İstatistik eklentisini etkiliyor. CVE-2024-2194 olarak takip edilen bu kusur, saldırganların URL arama parametresi aracılığıyla komut dosyaları eklemesine olanak tanıyor. Mart ayında açıklanan bu değişiklik, 14.5 ve önceki sürümleri etkilemektedir. Enjekte edilen komut dosyaları, bir kullanıcı virüs bulaşmış bir sayfaya eriştiğinde yürütülür ve saldırganlar, yükün en çok ziyaret edilen sayfalarda görünmesini sağlamak için isteklere 'utm_id' parametresini ekler.
WP Meta SEO Güvenlik Açığı: CVE-2023-6961
İkinci güvenlik açığı olan CVE-2023-6961, 20.000'den fazla aktif kurulumla WP Meta SEO eklentisini etkiliyor. Bu hata, saldırganların 404 yanıtı üreten sayfalara veri eklemesine olanak tanır. Bir yönetici böyle bir sayfayı yüklediğinde, komut dosyası gizlenmiş JavaScript kodunu uzak bir sunucudan getirir. Yöneticinin kimliği doğrulanırsa veri, yöneticinin kimlik bilgilerini çalabilir.
LiteSpeed Önbellek Güvenlik Açığı: CVE-2023-40000
Üçüncü güvenlik açığı CVE-2023-40000, 5 milyondan fazla aktif kurulumu olan LiteSpeed Cache eklentisini hedef alıyor. Saldırganlar, XSS yükünü bir yönetici bildirimi olarak gizleyerek, yöneticinin bir arka uç sayfasına erişimi üzerine komut dosyasını tetikler. Bu, komut dosyasının sonraki kötü amaçlı eylemler için yöneticinin kimlik bilgilerini kullanarak yürütülmesine olanak tanır.
Fastly'nin araştırması, kötü amaçlı yüklerde referans verilen beş alan adının yanı sıra izleme için kullanılan iki ek alan tanımladı; bunlardan en az biri daha önce savunmasız WordPress eklentilerinin kullanılmasıyla ilişkilendirilmişti. Etkilenen eklentileri kullanan web sitesi yöneticilerinin derhal en son sürümlere güncellemeleri ve sitelerini şüpheli etkinliklere karşı izlemeleri önerilir.